シャドーITとは

シャドーITが生まれた背景

クラウド サービスが出現する前、組織のエンド ユーザーがアクセスできるアプリケーションはIT部門が会社として調達や管理を行うものに限られており、こうしたアプリケーションのライセンス管理、アップデート、アクセス権の管理、セキュリティ ポリシーの制御は、IT部門の管理下にありました。

しかし、クラウドやアプリ ストアを使ったセルフ サービス アプリケーションという新たなテクノロジーが生まれると、ユーザーはIT部門の明確な承認に縛られることなくアプリケーションを利用できるようになりました。各自がより簡単かつ効率的に業務を遂行できるツールを選べるようになったのです。

シャドーITが利用される理由

普通、シャドーITが利用されるのは、従業員が特定の業務を遂行するうえで自分にとって都合の良い方法がある場合です。以前に特定のアプリを使っていた経験があったり、単にその組織で承認されているアプリよりも気に入った機能があったりするということが考えられます。コミュニケーション ツールやファイル共有ツール(Dropbox、WhatsApp、Googleドライブなど)といった従業員が必要とするカテゴリーに、組織として承認されているアプリが1つもないといったケースもあるでしょう。

シャドーITは他にも、以下のようなサード パーティーで使用されている自社では未承認のアプリケーションにアクセスすることでも生まれます。

• サプライヤー
• テクノロジー パートナー
• チャネル パートナー

そしてもちろん、単に従業員の娯楽や私的な目的のためにシャドーITアプリが使用されることも多々あります。

いずれの場合でも、IT部門では未承認のアプリケーションの状況を把握することや制御することはできないため、セキュリティ上の課題が生まれることになります。リモート ワークが広まったことで、従業員は個人のデバイスで好きなアプリケーションを使えるようになり、この問題はいっそう厄介なものになっています。

シャドーITが招くセキュリティ リスク

シャドーITはサイバーセキュリティ上の懸念を生むほか、ITリソースの乱用、生産性への悪影響、そしてサイバー攻撃の糸口にさえもつながりかねません。たとえば以下のようなリスクは特に重要です。

データの漏洩

シャドーITは、データの侵害や漏洩を引き起こす主要な原因の1つです。未承認のアプリを、特にスマートフォンやノートパソコンで使用すると、ユーザーにそのような意図があるかどうかによらず、データの漏洩や不適切な共有が簡単に起こってしまう場合があります。

生産性の低下

未承認のアプリ(ソーシャル メディア用など)を利用していると、他のアプリと互換性がない、同僚がアクセスできない、効果的な使い方を知らないなどといった理由で、コラボレーションや生産性に悪影響を及ぼす可能性があります。

マルウェア

CIOやCISOは、組織にマルウェアやランサムウェアが侵入しないよう常に気を配っているものです。しかし、シャドーITは、こうした脅威の侵入の糸口となりがちです。未承認のアプリは、保護されていない私用のデバイス(BYOD)やサード パーティーからアップロードされた悪意のあるファイルが保存されやすい環境になってしまいます。

脆弱性

ZDNetによると、Androidアプリの60%にセキュリティ上の脆弱性があり、各アプリに含まれるバグは平均39件となっています。場合によっては、バグを悪用したデバイスの乗っ取りなども可能になってしまいます。ひとたび組織のネットワークに侵入できれば、ITシステムを侵害し、機密情報を窃取することもできてしまいます。

コンプライアンス違反

シャドーITによって、規制対象の情報がIT部門による確認や保護ができないクラウド上に移動されてしまう可能性が出てきます。これはGDPRなどの規制に関わるコンプライアンス問題につながり、罰金処分や信用失墜という結果を招きかねません。

攻撃対象領域の拡大

従業員がIT部門への相談なくアプリケーションを使用することで、組織が攻撃を受けるリスクは高まります。そうしたアプリケーションや問題のあるソフトウェアが送受信するデータは、基盤となるITインフラストラクチャーに紐付けられていないため、脆弱性を生み出すことになります。

シャドーITを制御する方法

IT部門がまずやるべきは、働く場所が分散した組織全体にわたって未承認のアプリケーションをすべて洗い出し、クラウド アクセス セキュリティ ブローカー(CASB)を導入することです。

管理の障害となるシャドーIT対策として、CASBにはセキュリティ上の非常に大きな価値があります。CASBには以下のような機能があります。

• ファイアウォールやプロキシなどのネットワーク デバイスからログやワークフローを取り込む
• このログやワークフローを組み合わせ、アプリに関する情報を取得する
• 発見されたアプリのセキュリティ属性や必要なセキュリティ対策の詳細を示す

IT部門は、特定のユーザーによるアクセスの場合など、特定の条件下で特定の未承認アプリケーションの利用を認めることもできますが、それ以外の場合、発見された未承認アプリは即座に禁止されます。先進的なソリューションを利用すれば、よりきめ細かい修復オプションを利用して未承認のアプリケーションへの対応を行うことも可能です。

クラウド ネイティブであると謳われるCASBは数多く存在しますが、そのほとんどは従来のセキュリティ アプライアンスに仮想マシンを組み合わせただけのものにすぎません。シャドーITのリスクを軽減し、セキュリティ態勢を強化できるような、クラウド向けにクラウドで構築された製品を提供するセキュリティ サービス プロバイダーは1社しかありません。それがZscalerです。

ZscalerによるシャドーITのリスクの排除

Zscaler CASBは、完全なインライン ソリューションで、自動された機能を通じてシャドーITを検出することを可能にします。ネットワーク デバイスから取得したログを管理者が手動でアップロードする必要はありません。ネットワークの内外における完全な可視性を確保でき、使用されている可能性のあるシャドーITリソースを洗い出すために必要な、IT部門による常時監視が可能になります。Zscalerでは、8,500を超えるアプリに関するデータを整備しており、各アプリについて25のリスク属性を精査して信頼性を詳細に確認しているため、シャドーITのリスク軽減について言えば、単に状況を改善する以上の力があると言えます。

Zscaler CASBを利用することで、多くのメリットを得ることができます。たとえば以下のようなものです。

• きめ細かなデータ保護：クラウドベースのアプリケーションをはじめ、リソース全体にわたって、悪意による情報漏洩も偶発的な情報漏洩も防ぎます。
• 穴のない脅威対策：ランサムウェアなどの脅威がクラウドやユーザー エンドポイントに拡散することを阻止します。
• 包括的な可視性：すべてのクラウド データを完全に監視するための、詳細なログとレポートを利用できます。
• 統合的なコンプライアンス管理：SaaSアプリケーション全体にわたって、コンプライアンスに関する詳細な可視性を確保し、各種規制への準拠を徹底できます。

Zscaler CASBでは、リスクの高いアプリへのアクセスを自動的かつ瞬時にブロックすることが可能です。一方、許可やブロックを無条件に行うことでユーザーの生産性を妨げてしまうこともあるため、きめ細かい対応を行うためのオプションも用意されています。未承認のアプリケーションに対しては、読み取り専用のアクセスを許可することが可能です。これによってアップロードを防いで情報漏洩を阻止できるほか、帯域幅と時間の割り当てを行って従業員の使用を制御することもできます。

シャドーITのリスクから組織を保護するうえでZscalerがどのように役立つかの詳細については、当社の幅広いパートナー ネットワークも含めてご確認いただければ幸いです。Zscalerでは、Microsoft、ServiceNow、Googleなどといった業界をリードする企業のSaaSと連携したクラウド セキュリティを提供しています。

また、ぜひZscaler Data Protectionについても併せてご確認ください。シャドーITの検出とデータ セキュリティを強化し、BYODデバイスにもポリシーを適用することが可能です。